Der unvermeidliche Medienbruch bei Onlineabschlüssen durch das Postident-Verfahren ist der Pferdefuß jeglicher Neukundengeschäfte der Finanzdienstleister im Internet. In letzter Zeit mehren sich jedoch die Versuche, das Postident-Verfahren durch andere Methoden der Identifizierung zu ersetzen, beispielsweise durch das Einscannen von Ausweisdokumenten an SB-Terminals. Während diese Alternative derzeit noch nicht "serienreif" ist, arbeitet Fidelity seit August live mit einer onlinebasierten Alternative zu Postident. Bei "Verify-U" werden als Identifizierungsmerkmale die Mobiltelefonnummer, die E-Mail-Adresse, Personalausweisdaten und gegebenenfalls die Bankverbindung des Antragsstellers genutzt.
Zunächst muss der Kunde seine Handynummer angeben. Dann erhält er eine SMS, mit der ihm eine Einmal-PIN zugesandt wird. Mit dieser wiederum muss er sich auf der Website einloggen, seine E-Mail-Adresse eingeben und ein Passwort wählen. Daraufhin erhält er eine E-Mail mit einem Aktivierungslink. Nach Anklicken dieses Links identifiziert er sich mit dem zuvor gewählten Passwort, dann erfolgt die Eingabe der persönlichen Daten (Name, Adresse, Geburtsdatum, eventueller Umzug in den letzten sechs Monaten, Ausweisnummer und -prüfziffer, Geburtsort und Ausstellungsdatum des Ausweisdokuments). Ergänzend wird ein Foto des Ausweises hochgeladen, per Fax oder Post übermittelt. Und schließlich wird die Kontoverbindung abgefragt. Auf dieses Konto wird zwecks Überprüfung ein Cent überwiesen. Wenn der Kunde dessen Eingang bestätigt hat, wird er per Lastschrift wieder eingezogen.
Das Verfahren scheint auf den ersten Blick umständlich. Doch durch die Verwendung unterschiedlicher Medien beziehungsweise Kommunikationswege dürfte es gegen Hacker-Angriffe weitgehend immun sein. Wer hier eine falsche Identität nutzen will, müsste schon Rechner und Mobiltelefon des Betreffenden infiziert und zugleich dessen Ausweisdokument - entweder physisch oder zumindest als digitale Version - vorliegen haben. Das dürfte sogar für den vom BKA immer wieder apostrophierten Igor Popow eine Herausforderung sein.
Demjenigen, der sich dennoch scheut, seine Bankverbindung an dieser Stelle anzugeben, bleibt immer noch die Möglichkeit eines - vergleichsweise bequemen - Medienbruchs: Statt der Identifizierung über die Bankverbindung kann er sich eine E-Mail-Adresse und Referenznummer, mit der er sich dann wiederum identifizieren kann, auch per Post zustellen lassen.
Ganz ausgeschlossen sind Manipulationen auch bei diesem Verfahren vermutlich nicht endgültig. Immerhin aber erscheint es sicher genug, dass das Bundesverwaltungsamt (BvA) der Cybits AG, Wiesbaden, die das Verfahren entwickelt hat, ein Zertifikat erteilt hat, wonach mit Verify-U Personendaten gemäß Geldwäschegesetz, Signaturgesetz und Signaturverordnung, De-Mail-Gesetz und Jugendmedienschutzstaatsvertrag geprüft werden können.
Als erste Bank in Deutschland hat sich im Januar dieses Jahres die Fidor Bank für die onlinebasierte Alternative zu Postident entschieden. Fidelity ist nun die erste Fondsgesellschaft. Auch Click-and-Buy arbeitet übrigens mit dem Verfahren. sb